Q12 — AWS SCS-C02 第1章
第 12/100 题 | ← 返回第1章
一家公司有一个应用程序,需要从Amazon S3存储桶获取对象。该应用程序运行在Amazon EC2实例上。 S3存储桶中的所有对象均使用AWS Key Management Service(AWS KMS)客户托管密钥进行加密。VPC中的资源没有互联网访问权限,并使用网关VPC端点访问Amazon S3。 该公司发现该应用程序无法从S3存储桶获取对象。 哪些因素可能导致此问题?(选择三项)
- A. 附加到EC2实例的IAM实例配置文件未授予对该S3存储桶执行s3:ListBucket操作的权限 ✓
- B. 附加到EC2实例的IAM实例配置文件未授予对该S3存储桶执行s3:ListParts操作的权限
- C. 加密S3存储桶中对象的KMS密钥策略未向EC2实例配置文件授予kms:ListKeys操作权限
- D. 加密S3存储桶中对象的KMS密钥策略未向EC2实例配置文件授予kms:Decrypt操作权限 ✓
- E. S3存储桶策略未允许来自网关VPC端点的访问 ✓
- F. 附加到EC2实例的安全组缺少一条来自S3托管前缀列表、端口443的入站规则
正确答案: A. 附加到EC2实例的IAM实例配置文件未授予对该S3存储桶执行s3:ListBucket操作的权限, D. 加密S3存储桶中对象的KMS密钥策略未向EC2实例配置文件授予kms:Decrypt操作权限, E. S3存储桶策略未允许来自网关VPC端点的访问
解析
AWS KMS密钥策略需要授权EC2实例配置文件执行kms:Decrypt操作以解密对象。IAM实例配置文件缺少s3:ListBucket权限会导致无法列出存储桶内容。S3存储桶策略未明确允许通过网关VPC端点的访问将导致请求被拒绝。选项A涉及IAM权限不足,D涉及KMS解密权限缺失,E涉及存储桶策略与VPC端点不兼容。选项C的kms:ListKeys动作不影响解密操作。选项F中网关VPC端点不需要安全组入站规则,仅接口端点需要。B的ListParts动作与普通对象读取无关。参考AWS文档中关于S3权限、KMS密钥策略及VPC端点的访问控制部分。